**Drupal** está alertando administradores que hackers estão tentando ativamente explorar uma vulnerabilidade de SQL injection "altamente crítica" anunciada no início desta semana. O projeto do sistema de gerenciamento de conteúdo (CMS) inicialmente publicou um PSA em 18 de maio, instando os administradores a aplicarem atualizações de core que abordam uma questão que se esperava que atores de ameaça explorassem rapidamente. ### Detalhes da CVE-2026-9082 A falha, rastreada como **CVE-2026-9082**, foi descoberta pelo pesquisador **Google/Mandiant** Michael Maturi. Ela reside na API de abstração de banco de dados do Drupal, permitindo que requisições especialmente elaboradas acionem SQL injection arbitrária em sites que utilizam **PostgreSQL**. SQL injection é uma vulnerabilidade crítica onde atacantes injetam comandos SQL maliciosos em consultas de banco de dados através de campos de entrada do usuário ou diálogos em websites. Isso pode levar a acesso não autorizado, modificação ou exclusão de dados do banco de dados. A vulnerabilidade é explorável sem autenticação, aumentando sua gravidade e impacto potencial. Em um aviso atualizado em 22 de maio, a Drupal confirmou oficialmente que tentativas de exploração foram detectadas em campo. "A pontuação de risco foi atualizada para refletir que tentativas de exploração estão agora sendo detectadas em campo", diz o aviso atualizado. A Drupal classificou internamente a vulnerabilidade como "altamente crítica", atribuindo-lhe uma pontuação de 23 em 25. No entanto, o **NIST** a classificou como "severidade média" com base em uma pontuação CVSS v3 de 6.5. ### Impacto e Recomendações A CVE-2026-9082 afeta uma ampla gama de versões do Drupal, incluindo: * Drupal 8.9.x * Drupal 10.4.x antes de 10.4.10 * Drupal 10.5.x antes de 10.5.10 * Drupal 10.6.x antes de 10.6.9 * Drupal 11.0.x / 11.1.x antes de 11.1.10 * Drupal 11.2.x antes de 11.2.12 * Drupal 11.3.x antes de 11.3.10 Proprietários e administradores de sites são fortemente aconselhados a atualizar imediatamente para a versão mais recente disponível para seu respectivo branch. Mesmo aqueles que não utilizam PostgreSQL são encorajados a atualizar, pois as atualizações de segurança mais recentes incluem correções para dependências upstream, incluindo **Symfony** e **Twig**. O aviso enfatiza que Drupal 8 e 9 estão end-of-life (EoL), e os patches são fornecidos em uma base de "melhor esforço". No entanto, esses branches ainda contêm outras vulnerabilidades conhecidas, tornando seu uso contínuo inerentemente arriscado.